Richten wir den Blick auf den Beschäftigtendatenschutz, so kommt man derzeit an einer Thematik nicht vorbei: Schaffung eines Beschäftigtendatenschutzgesetzes. Derartige Bestrebungen sind nicht neu und erfreuten insbesondere zur Zeit der ersten großen Datenschutzskandale im Bereich des Beschäftigtendatenschutz, namentlich das Projekt Babylon der Deutschen Bahn und die unerlaubte Überwachung von Beschäftigten durch den Discounter Lidl, großer Aufmerksamkeit. War die Kritik von Arbeitgebern und Gewerkschaften sehr stark, scheiterte der konkrete Gesetzentwurf damals letztendlich im parlamentarischen Verfahren. Warum das Thema gerade jetzt wieder aktuell ist und wie konkret die Schaffung eines Beschäftigtendatenschutzgesetz ist, soll der nachfolgende Beitrag näher beleuchten.
IST DIE SCHAFFUNG EINES BESCHÄFTIGTENDATENSCHUTZGESETZES MÖGLICH?
Art. 88 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) sieht folgende Regelung vor: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen“. Der deutsche Gesetzgeber hat von dieser „Öffnungsklausel“ in der DS-GVO Gebrauch gemacht und den § 26 Bundesdatenschutzgesetz (BDSG) geschaffen. Dieser führt die spezialgesetzlichen Regelungen des § 32 BDSG a.F. fort und wurde der Terminologie der DS-GVO angepasst. Der § 26 BDSG ist somit aktuell – neben zahlreichen spezialgesetzlichen Einzelnormen mit Bezug zum Beschäftigtendatenschutz – der Hauptanknüpfungspunk für Fragen des Beschäftigtendatenschutzes. Darüber hinaus kommt der Beschäftigtendatenschutz in umfangreicher Arbeitsrechtsprechung zum Ausdruck.
Fraglich ist allerdings, ob die Schaffung eines eigenständigen Beschäftigtendatenschutzgesetzes weiterhin möglich ist. Den Bundestagsdrucksachen (BT-Drs. 18/11325) ist jedoch zu entnehmen, dass sich der Gesetzgeber vorbehält „Fragen des Datenschutzes im Beschäftigungsverhältnis […] im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln.“ Und weiter: „Dies gilt insbesondere für das Fragerecht bei der Begründung eines Beschäftigungsverhältnisses, den expliziten Ausschluss von heimlichen Kontrollen im Beschäftigungsverhältnis, die Begrenzung der Lokalisierung von Beschäftigten sowie den Ausschluss von umfassenden Bewegungsprofilen, den Ausschluss von Dauerüberwachungen und die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken.“ Es lässt sich demnach festhalten, dass der Weg zu einem Beschäftigtendatenschutzgesetz weiterhin grundsätzlich beschritten werden kann.
WARUM SCHWELLEN GERADE JETZT DIE FORDERUNGEN?
Ausgangspunkt ist, dass der Koalitionsvertrag auf Bundesebene („Mehr Fortschritt wagen“) auf Seite 17 explizit die Schaffung von Regelungen zum Beschäftigtendatenschutz vorsieht: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“ Vor diesem Hintergrund hat das Bundesministerium für Arbeit und Soziales (BMAS) den interdisziplinären Beirat Beschäftigtendatenschutz eingesetzt, der seinen Abschlussbericht im Januar 2022 fertiggestellt hat. In jenem Bericht spricht sich der Beirat für ein bundeseinheitliches und rechtsverbindliches Regelwerk aus. Es wird außerdem festgestellt, dass der § 26 BDSG in seiner gegenwärtigen Fassung aufgrund der Interpretationsbedürftigkeit zum Schutz vor eingriffsintensiven Datenverarbeitungen in der digitalisierten Arbeitswelt nicht ausreicht. Das Ergebnis ist das Erfordernis der Schaffung ausgewogener konkretisierender gesetzlicher Regelungen für alle Beteiligten, die daneben von untergesetzlichen Regelungen wie Rechtsverordnungen und Kollektivverträgen sowie datenschutzrechtlichen Instrumenten in Form von Verhaltensregeln (Codes of Conduct) im Sinne der Art. 40 f. DS-GVO oder Zertifizierungen nach Art. 42 f. DS-GVO flankiert unterstützt werden sollten. Als Leitgedanken legt der Beirat den verhältnismäßigen Ausgleich der Grundrechte der Beschäftigten und der Arbeitgeber unter besonderer Beachtung des Schutzes der Menschenwürde der Beschäftigten, Technologieneutralität und Technikoffenheit der Regelungen, Transparenz für Beschäftigte und Betriebsräte über die zur Datenverarbeitung verwendeten Einrichtungen und Programme sowie die Gewährleistung einer wirksamen Rechtsdurchsetzung fest. Hierfür wird konkret vorgeschlagen die Erforderlichkeit bei der gesetzlichen Verarbeitungserlaubnis und die Anforderungen an die Einwilligung als Ausdruck der Datensouveränität im Beschäftigungsverhältnis zu konkretisieren, die Bedingungen für Betriebsvereinbarungen als sachliches Regelungsinstrument zu stärken, die datenschutzrechtlichen Anforderungen an den Einsatz künstlicher Intelligenz im Beschäftigungsverhältnis zu regulieren, spezifische Rechte der Betroffenen zu regeln, die Rechtsdurchsetzung zu verbessern und die Stärkung der Datenschutzaufsichtsbehörden sowie die Errichtung neuer Gremien (z.B. Schaffung einer ständigen Beschäftigtendatenschutzkommission beim BMAS sowie ein ständiges Sekretariat des Arbeitskreises Beschäftigtendatenschutz der Datenschutzkonferenz) vorzunehmen.
Darüber hinaus hat der Deutsche Gewerkschaftsbund einen konkreten Entwurf eines umfassenden und individualrechtlich ausgerichteten Beschäftigtendatenschutzgesetz (BeschDSG) vorgelegt. In vielen Punkten bestehen inhaltliche Überschneidungen zu den Empfehlungen des Beirats, sodass mit dem Entwurf insoweit konkret ausformulierte Regelungsvorschläge bestehen bzw. vorgelegt wurden. Der Entwurf bezieht sich in seinem sachlichen Anwendungsbereich auf die Verarbeitung von Beschäftigtendaten in der Anbahnungs- und Durchführungsphase von Beschäftigungsverhältnissen und auf Verarbeitungen nach deren Beendigung durch den Arbeitgeber und für Verarbeitungen durch Dritte, die vom Arbeitgeber veranlasst oder ermöglicht wurden. Ausgeformt werden einige Grundsätze zur Beschäftigtendatenverarbeitung, z.B. der Grundsatz der Direkterhebung mit explizitem Ausschluss der Erhebung erforderlicher Daten aus dem Internet oder in anderen digitalen Quellen sowie das Verbot der Zusammenführung von Beschäftigtendaten mit personenbezogenen Daten aus anderen Rechtsverhältnissen außerhalb des Beschäftigungsverhältnisses. Weiterhin werden Regelungen zur Datenverarbeitung auf Grundlage einer Einwilligung der Beschäftigten, insbesondere hinsichtlich der Nachweisbarkeit und der Erforderlichkeit, getroffen. Außerdem sollen für die Bewerbungsphase typische Fallkonstellationen festgelegt werden, etwa das Verbot der Verarbeitung biometrischer Daten, das Fragerecht und die Unzulässigkeit bestimmter Fragen sowie Vorgaben für Einstellungstests und -untersuchungen und Entwurf Regelungen zum KI-Einsatz in der Bewerbungsphase. Ferner adressiert der Entwurf Regelungen für die Durchführung von Beschäftigtenverhältnissen bezüglich Kontrollen von Beschäftigten wie bspw. Verhaltens- oder Leistungskontrollen, Aufdeckungen von Straftaten, Video- und Audioüberwachungen, Vorgaben für die Verarbeitung, Verwendung und Übermittlung von Beschäftigtendaten aus Cloud-Umgebungen und „Software as a Service“-Anwendungen sowie Regelungen zu Ortung und Standortbestimmung, biometrische Kontrollverfahren und Beweisverwertungsverbote.
WAS SAGEN DIE DATENSCHUTZAUFSICHTSBEHÖRDEN DAZU?
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) hat in einer Entschließung vom 29. April 2022 ebenfalls Stellung zum Vorhaben Beschäftigtendatenschutzgesetz bezogen. Hierin heißt es unter anderem: „Die voranschreitende technische Entwicklung ermöglicht eine immer weitergehende Überwachung von Beschäftigten. Deshalb forderte die […] (DSK) bereits 2014 die Schaffung eines Beschäftigtendatenschutzgesetzes.“ Und weiter: „Die DSK ist der Auffassung, dass weitergehende Regelungen notwendig und überfällig sind: § 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.“ Im weiteren Verlauf fordert die DSK den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in den folgenden Bereichen gesetzliche Regelungen zu schaffen: Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI), Grenzen der Verhaltens- und Leistungskontrolle, Ergänzungen zu den Rahmenbedingungen der Einwilligung, Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen, Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie Art. 6 und Art. 9 DS-GVO, Beweisverwertungsverbote sowie Datenverarbeitungen bei Bewerbungs- und Auswahlverfahren. Die DSK konkretisiert mithin schon sehr weitgehend einen grundlegenden gesetzlichen Rahmen, um in der Anwendung sich von der Generalklausel des § 26 BDSG zu entfernen und die Regelungen zum Beschäftigtendatenschutz auf mehrere Einzelnormen verteilen zu können.
FAZIT
Das akute Problem des § 26 BDSG ist die generalklauselartige Formulierung und die dem gegenüberstehende zunehmende arbeitsgerichtliche Einzelfallkasuistik. Hinzu tritt die stetig voranschreitende Digitalisierung und die damit einhergehenden zunehmenden Risiken bei der Verarbeitung von Beschäftigtendaten. Sofern die Bestrebungen auf dem Weg zu einem eigenständigen Beschäftigtendatenschutzgesetz tatsächlich intensiv vorangetrieben werden sollen, so bedarf es in jedem Fall einer gezielten Auseinandersetzung mit den einzelnen Phasen des Beschäftigtenverhältnisses und den in diesem Zusammenhang zu regulierenden Verarbeitungsfällen von Beschäftigtendaten. Darüber hinaus sollten die Regelungen eines Beschäftigtendatenschutzgesetzes jedenfalls der Digitalisierung sowie dem zunehmenden Einsatz von IT-Systemen und neuen Technologien Rechnung tragen. Sowohl der Berichte des Beirates als auch der konkrete DGB-Entwurf und die Entschließung der DSK adressieren mehr oder weniger die gleichen – durchaus bekannten – Fallkonstellationen und Fragestellungen des Beschäftigtendatenschutzes. Die Regelungsziele dürften demnach klar sein. Handlungsbedarf besteht hinsichtlich der konkreten Ausgestaltung der möglichen künftigen Regeln zum Beschäftigtendatenschutz(gesetz).
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.